Jayus_F

摘要： 调试代码可以在部署的web应用程序中建立一些意想不到的入口点，如：main()方法，在系统上线后，可视为应用程序的后门入口。 修复建议： 务必在部署应用程序的产品版之前删除调试代码。无论是否存在直接安全威胁，一旦早期开发阶段结束，就没有任何理由将这样的代码保留在应用程序中。 需要理解 原因： Jav 阅读全文

摘要： 低危 系统中存在大量JSP页面当中注释采用HTML注释，而不是JSP注释的情况。 此情况下，攻击者在浏览器浏览页面的时候，右键查看页面源代码，可以看到HTML注释内的信息，很多时候甚至是代码块，导致系统信息泄露。 Jsp html 注释区别： (1)HTML页面注释 这里面的注释会被编译（加载页面时 阅读全文

摘要： 先通过iis7网站监控，输入自己的域名，就可以立马看到自己是不是遭遇JS劫持了，并且查询结果都是实时的，可以利用查询结果来更好的优化我们的网站。 以下情况，应用程序很容易受到js劫持的攻击： （1）讲js对象用作数据传输格式 （2）处理机密数据 概念： 即在一个函数运行之前把它劫持下来，添加我们想要 阅读全文

摘要： 分享一篇详细的感觉特别好的文章 https://www.cnblogs.com/qmfsun/p/5779469.html 理解：跨站 请求 伪造（伪造页面、诱惑点击 然后伪造用户身份进行操作） 攻击者在 用户不知情的情况下，伪造发出一个未经授权的请求，进行攻击，伪造成用户的身份进行操作。 常见页面 阅读全文

摘要： Spring.xml 配置文件内，配置属性 mail.smtp.auth = true 。 建议： 使用SSL/TLS对通过网络发送的所有数据进行加密， 或者允许将现有的未加密连接升级到 SSL/TLS。 例如： SMTP客户端已正确配置为使用SSL/TLS与SMTP服务器进行通信： session 阅读全文